Nie przy każdym naruszeniu RODO kara finansowa

Najnowszy wyrok Trybunału Sprawiedliwości Unii Europejskiej – z 26 września 2024 r. w sprawie C 768/21 – powinien uciąć toczącą się w doktrynie dyskusję, czy w przypadku stwierdzenia naruszenia organ ochrony danych osobowych ma obowiązek zastosować któreś z uprawnień naprawczych wskazanych w art. 58 ust. 2 RODO. Przepis ten zakreśla szerokie spektrum możliwych sankcji – od ostrzeżenia czy upomnienia, przez nakazanie podjęcia określonych środków, aż po kary finansowe. Nałożenia takiej właśnie kary domaga się przed niemieckim sądem klient oddziału kasy oszczędnościowej z Hesji, który dowiedział się, że pracownica tej instytucji wielokrotnie miała nieuprawniony dostęp do jego danych. Kasa zgłosiła to organowi ochrony danych kraju związkowego, ale nie powiadomiła samego zainteresowanego. Organ uznał, że nie miała takiego obowiązku, gdyż nieuprawniony dostęp do danych klienta nie spowodował wysokiego ryzyka naruszenia jego praw i wolności. Skarżący jest przeciwnego zdania. W sprawie toczącej się przed niemieckim sądem dodatkowo domaga się ukarania kasy oszczędnościowej za stwierdzone naruszenia. Uważa bowiem, że jest to obowiązek, a nie jedynie uprawnienie organu nadzorczego.

Rozpoznający tę sprawę sąd postanowił skierować do TSUE pytanie prejudycjalne. Wskazał w nim, że w doktrynie można się spotkać z rozbieżnymi poglądami na temat tego, czy w przypadku stwierdzenia naruszenia organ jest zobowiązany do zastosowania któregoś z uprawnień wskazanych w art. 58 ust. 2 RODO, a w szczególności czy musi nakładać karę finansową.